Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Microsoft presenta el proyecto Springfield: Fuzzing de aplicaciones basado en la IA




Microsoft ha presentado lo que pretende ser una de las herramientas de búsqueda de bugs más sofisticadas del mercado. En un intento de ayudar a los desarrolladores a encontrar vulnerabilidades en sus aplicaciones de Windows y Office, la empresa lanzó el Proyecto Springfield, un servicio basado en la nube que realiza pruebas de "White Box Fuzzing".





¿Qué es el Fuzzing?


Fuzzing es una técnica de pruebas de software, a menudo automatizado o semiautomatizado, que implica proporcionar datos inválidos, inesperados o aleatorios a las entradas de un programa de ordenador. Entonces se monitorizan las excepciones tales como caídas, aserciones de código erróneas, o para encontrar potenciales filtraciones de memoria. La técnica de fuzzing se utiliza normalmente para descubrir problemas de seguridad en software o sistemas de ordenadores. Es una forma de testeo aleatorio que se ha usado para comprobar tanto hardware como software.


A la herramienta que permite llevar adelante un fuzz testing se la conoce, vulgarmente, como Fuzzer. El Fuzzer puede ser dividido en tres componentes principales: generador, mecanismo de entrega y sistema de monitoreo.
  • Generador: Es el responsable de concebir las diferentes cadenas de texto para el testeo sobre las entradas. Habitualmente, el generador permite crear entradas acordes al sistema al cuál se está sometiendo a pruebas.
  • Mecanismo de entrega: Es el responsable de tomar las entradas que entrega el propio generador y presentarlo para el sistema que se está sometiendo a prueba. Es importante destacar que este tipo de mecanismo está fuertemente ligado al sistema de prueba, ya que los mecanismos de entrada varían considerablemente donde, por ejemplo, en un caso puede existir entradas a través de un archivo y, en otros casos, las entradas pueden ser a través de la interacción del usuario.
  • Sistema de monitoreo: Es el encargado de monitorear la reacción del sistema de prueba a partir de las diferentes entradas. Su función principal es la búsqueda de errores  y en el impacto que estos pueden tener sobre el propio sistema de prueba. A partir de los errores es posible determinar cuál de esos errores son críticos y pueden ser explotados.
Asimismo, existen diferentes formas de llevar a cabo las pruebas sobre el sistema. En este caso entran en juego tres conceptos:
  • Black-box: el proceso es totalmente opaco, es decir, solo se observan las respuestas del sistema de prueba a partir de determinados tipos de entradas. Este tipo de análisis se lo utiliza ampliamente sobre aplicaciones web.
  • White-box testing: el proceso es diferente. Se toma en cuenta otro tipo de información, como por ejemplo, el código fuente del software sometido a pruebas. En este caso, generalmente, el proceso de testeo es mucho más eficiente ya que se cuenta con información adicional por lo que los resultados serán más confiables.
  • Grey-box testing: cubre ambos espectros. Esta alternativa, habitualmente, descarta el acceso al código fuente, pero utiliza otros mecanismos más allá del Black-box testing tales cómo el análisis reverso o la utilización de un debugger.

Según explican, "Utiliza inteligencia artificial para realizar una serie de preguntas 'Qué pasaría si' y se toman decisiones sofisticadas sobre lo que podría llevar a una vulnerabilidad o error que involucre la seguridad del código. Cada vez que se ejecuta, se recogen más datos para perfeccionar las áreas más críticas y de esta manera Springfield podría ayudar a encontrar vulnerabilidades que herramientas de fuzzing tradicional podrían pasar por alto".



Springfield se basa en la tecnología utilizada por Microsoft internamente para probar sus productos desde el 2000, es fácil de usar e ideal para aquellas personas con menos formación técnica.

La herramienta fue apodada "el detector de errores del millón de dólares" porque ha ayudado ha Microsoft a encontrar vulnerabilidades graves que de lo contrario hubieran costado mucho dinero para hallarlas y solucionarlas.

Al ofrecer esta herramienta a la comunidad de desarrolladores, Microsoft espera ayudará a mejorar la seguridad de todos los productos.

Fuentes:
http://blog.segu-info.com.ar/2016/09/proyecto-springfield-fuzzing-de.html
http://www.welivesecurity.com/la-es/2012/10/31/detectando-vulnerabilidades-softwar-mediante-fuzzing/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.